Çin’in en yaygın tehdit gruplarından biri olan APT41, küresel nakliye ve lojistik, medya ve eğlence, teknoloji ve otomotiv endüstrisi de dahil olmak üzere birçok sektördeki kuruluşları hedef alan sürekli bir siber casusluk kampanyası yürütüyor.
Gelişmiş kalıcı tehdit (APT) aktörü, yeni kampanyayı 2023’ün başlarında başlatmış gibi görünüyor. O zamandan beri grup, birden fazla kurban ağına başarıyla sızdı ve bunlara uzun süreli erişim sağladı, Google’ın Mandiant güvenlik grubu bu hafta söylendi Google’ın Tehdit Analizi Grubu (TAG) ile ortak bir analizde. Etkilenen kuruluşların çoğu Birleşik Krallık, İtalya, İspanya, Tayvan, Tayland ve Türkiye’de bulunmaktadır.
APT41 bir nevi şemsiye tanımlayıcısı en az 2012’den beri dünya çapında siber casusluk, tedarik zinciri saldırıları ve finansal amaçlı siber suçlarla uğraşan Çin merkezli tehdit aktörlerinden oluşan bir kolektif için. Yıllar içinde güvenlik araştırmacıları, APT41 kolektifinin bir parçası olan birden fazla alt grup tespit ettiler, bunlar arasında Kötü Panda, KazananSuckfly ve BaryumBu gruplar çalınan ticari sırlar, fikri mülkiyetsağlık hizmetleriyle ilgili veriler ve diğer hassas bilgiler, Çin hükümeti adına dünyanın dört bir yanındaki ABD kuruluşları ve kuruluşlarından. 2020’de ABD hükümeti beş üyeyi suçladı APT41’in dünya çapında 100’den fazla şirkete yönelik saldırılara katılması veya katkıda bulunması nedeniyle. Ancak bu suçlamalar grubun faaliyetlerini şimdiye kadar caydırmak için pek bir şey yapmadı.
APT41’in Yaygın Coğrafi Etkisi
Nakliye ve lojistik sektöründe hedeflenen kuruluşların neredeyse hepsi Orta Doğu ve Avrupa’da bulunurken, APT41’in medya ve eğlence sektöründe hedef aldığı tüm kuruluşlar Asya’da bulunuyordu. Nakliye ve lojistik sektöründeki birçok kurbanın, aynı sektördeki büyük çokuluslu şirketlerin yan kuruluşları veya iştirakleri olarak birden fazla kıtada faaliyet gösterdiğini Mandiant araştırmacıları söyledi.
Mandiant araştırmacıları blog yazısında, “Belirli sektörlerdeki mağdur örgütlerinin analizi, dikkate değer bir coğrafi dağılım ortaya koyuyor” dedi.
Ayrıca, güvenlik satıcısı “Mandiant, Singapur gibi diğer ülkelerde faaliyet gösteren benzer örgütlere yönelik keşif faaliyeti tespit etti” diye yazdı. “Yayın sırasında, ne Mandiant ne de Google TAG, bu örgütlerin APT41 tarafından tehlikeye atıldığına dair herhangi bir göstergeye sahip değildi, ancak potansiyel olarak hedefleme kapsamının genişlediğini gösterebilirdi.”
Özel Siber Casusluk Araçları
Mandiant araştırmacıları ayrıca APT41 aktörlerinin devam eden kampanyalarında hedef sistemlere kötü amaçlı yazılım bırakma, arka kapılar kurma, tehlikeye atılmış ağlarda yatay olarak hareket etme ve onlardan veri sızdırma gibi çeşitli özel araçlar kullandığını gözlemlediklerini söyledi. Araçlar arasında AntsWord ve BlueBeam adlı kalıcılık için iki Web kabuğu bulunuyor ve tehdit aktörleri bunları DustPan adlı bir dropper indirmek için kullanıyor ve bu dropper da kurban sistemlere Beacon tehlikeye atma sonrası aracını yüklemeye çalışıyor.
Buna ek olarak Mandiant, APT41’in kötü amaçlı yükleri şifresini çözmek ve bunları bellekte yürütmek için DustTrap adlı daha önce görülmemiş çok aşamalı bir eklenti çerçevesi kullandığını gözlemlediğini söyledi, böylece tehlikeye atılan sistem ile APT-41 tarafından kontrol edilen sistemler ve altyapı arasında iletişim sağlanabiliyor. Mandiant’ta siber casusluk analizi başkanı Ben Read, “DustPan, APT41 tarafından 2021’den beri kullanılıyor, ancak DustTrap ilk kez bu aktivitede görüldü” diyor.
APT41 aktörlerinin mevcut kampanyada etkili bir şekilde kullandığı diğer araçlar arasında, Oracle Veritabanlarından veri kopyalamak için SQLULDR2 adı verilen kötü amaçlı yazılım ve tehlikeye atılmış bir ağdan büyük miktarda veriyi sonraki analistler için bir OneDrive hesabına sızdırmak için PineGrove adı verilen kötü amaçlı yazılım da yer alıyor.
Read, “APT41’in her zaman küresel bir yetkisi olmuştur, dolayısıyla bu kampanyadaki hedeflemeleri muhtemelen mevcut ÇHC önceliklerini yansıtsa da, yaygın doğası daha önce gördüklerimizden de anlaşılıyor” diyor.
Mandiant şimdiye kadar APT41’in mevcut kampanyadaki saldırılarını herhangi bir şekilde paraya dönüştürmeye çalıştığına dair hiçbir kanıt bulamadı. “Ancak, uzlaşma sonrası aktiviteye dair tam bir içgörüye sahip değiliz, bu yüzden kesin bir şey söyleyemeyiz.”